浦東新區安防監控公司:Crysis勒索病毒“海賊王”變種預警

發布時間：2020-03-03 21:34:48 作者：上海監控安裝公司

廣東省網絡安全應急響應平臺技術支撐單位深信服安全近日追蹤到Crysis勒索病毒家族最新變種“海賊王”利用企業網絡安全防護薄弱時期，對多個用戶發起攻擊，通過RDP暴力破解入侵加密，由于近期新冠疫情導致復工困難，企業用戶在遭到該勒索病毒加密后難以第一時間進行響應和加固，造成巨大損失。

該勒索病毒變種界面是一個“海盜”標志，并且黑客聯系郵箱為“wang_team888@aol.com”，其中的“wang”疑似代表中文的“王”字：

并且加密文件的后綴被改為“ROGER”，也就是傳說中海賊王的名字：

02
預警概要

03
詳細分析

從種種特征來看，這貌似是一種新的勒索病毒，然而，經過深信服安全專家的深入分析，發現病毒樣本其實是臭名昭著的Crysis勒索病毒家族最新變種。安全專家對此次發現的病毒文件提取相關payload，與Crysis勒索病毒文件 payload 進行對比，代碼相似度極高，可以確定其為Crysis家族變種：

Crysis最早在2016年6月被國外安全專家發現加入了勒索功能，在2017年5月萬能密鑰被公布之后，消失了一段時間，后來一直很活躍，攻擊方法主要是通過遠程RDP爆力破解的方式，植入到用戶的服務器進行攻擊，由于Crysis采用AES+RSA的加密方式，目前無法解密。

Crysis的勒索界面標志通常是一個“鎖”的圖標，而此次發現變種的勒索界面風格與以往變種相比發生了較大變化，如下為以往變種的勒索界面：

詳細分析
此次捕獲到的Crysis與之前樣本一致，其整體的功能流程圖如下所示：

1.病毒首先拷貝自身到如下目錄：
%windir%\System32
%appdata%
%sh(Startup)%
%sh(Common Startup)%

2.將拷貝的病毒文件設置為自啟動項：

3.調用cmd命令刪除磁盤卷影，防止通過數據恢復的方式還原文件，如下：

4.枚舉服務并結束如下服務：
Windows Update
Wuauserv
Windows Search
WSearch
Security Center
Wscsvc
WMI Performance Adapter

5.枚舉進程并結束如下進程：
1c8.exe
1cv77.exe
outlook.exe
postgres.exe
mysqld-nt.exe
mysqld.exe
sqlserver.exe

6.遍歷局域網共享目錄，并加密：

7.遍歷本地磁盤，并加密：

8.加密對象為特定后綴名的文件，包括“.1cd”、“.3ds”、“.3fr”等，如下：

9.加密后的文件的后綴為：.id-8ECF3B49.[wang_team888@aol.com].ROGER，如下：

10.彈出勒索信息界面，并設置為自啟動注冊表項，如下所示：

04
影響范圍

目前我國江蘇、湖南等地區已發現有企業遭到攻擊。

05
解決方案

病毒防御
目前大部分勒索病毒加密后的文件都無法解密，針對已經出現勒索現象的用戶，由于暫時沒有解密工具，建議盡快對感染主機進行斷網隔離。

日常防范措施：
1、及時給電腦打補丁，修復漏洞。
2、對重要的數據文件定期進行非本地備份。
3、不要點擊來源不明的郵件附件，不從不明網站下載軟件。
4、盡量關閉不必要的文件共享權限。
5、更改賬戶密碼，設置強密碼，避免使用統一的密碼，因為統一的密碼會導致一臺被攻破，多臺遭殃。
6、如果業務上無需使用RDP的，建議關閉RDP。當出現此類事件時，推薦使用深信服防火墻，或者終端檢測響應平臺（EDR）的微隔離功能對3389等端口進行封堵，防止擴散！
7、防火墻開啟防爆破功能并啟用11080051、11080027、11080016規則，EDR開啟防爆破功能可進行防御。
浦東新區安防公司

最后，建議企業對全網進行一次安全檢查和殺毒掃描，加強防護工作。
深信服安全為廣大用戶免費提供查殺工具，可下載如下工具，進行檢測查殺。
64位系統下載鏈接：
http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z
32位系統下載鏈接：
http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z